CVE-2025-10044 in Keycloak
Sumário
de VulDB • 28/05/2026
Foi encontrada uma falha no Keycloak. O console de contas do Keycloak e outras páginas aceitam texto arbitrário no parâmetro de consulta error_description. Esse texto é renderizado diretamente nas páginas de erro sem validação ou sanitização. Embora a codificação HTML previna XSS, um atacante pode criar URLs com mensagens enganosas (por exemplo, números de telefone ou URLs de suporte falsos), que são exibidas dentro da interface confiável do Keycloak. Isso cria um vetor de phishing, potencialmente enganando os usuários para que entrem em contato com atores maliciosos.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.